在互连网应用中Web Service已经得到了广泛的认同，同时也是因为这种广泛的应用，使得Web Service在规范化方面越来越成熟。企业和企业之间的信息交互，很重要一点就是信息的安全性，电子商务等互连网应用这方面的需求更为突出，如果没有安全的保证，没有客户或者企业愿意将信息在网上交互，同时也不会信任任何接受到的信息。然而，作为SOA的有效技术手段，Web Service的动态性很强，服务的开发者无法预料到服务将在什么环境下被使用，因此服务的安全性变得更加复杂。

　　在考虑安全性方面主要有三个关键性的概念：

　　机密性(Confidentiality),完整性（Integrity）,身份鉴别（Authentication）。

　　机密性：除了指定的接受者，其他人无法查看消息的内容。通常会使用密钥（对称或非对称）对消息加密，从而保证消息的机密性。

　　完整性：确保消息在传输的过程中没有被修改。即保证消息的接收者接收到的消息与消息发送者最初发送的消息完全一致。通常会对消息做摘要(Digest)，再使用密钥（对称，非对称）加密摘要，从而保证消息的完整性。   

　　身份鉴别：确保消息发送者的身份与消息中所声称的用户身份一致。最简单的做法就是让用户同时发送用户名和密码，服务方确认密码的有效性从而判断该用户身份是否与用户名所代表的一致。然而在实际的应用中的做法通常不会如此简单，此时往往会使用密钥对一段信息加密，服务方通过解密此信息确认用户的身份。

　　那么如何选择使用对称密钥还是非对称密钥？什么时候使用公钥，什么时候使用私钥？首先由于对称密钥的加密解密速度比非对称的密钥快很多（大约1000倍），所以在加密消息的时候一般都使用对称密钥。但是有一个问题就是对称密钥又如何发布呢？网络上两个没有联系的用户如何建立起一个共享的密钥？这时就需要PKI来帮助我们将这个共享的密钥建立起来，即利用非对称密钥中的公钥来加密那个共享密钥，传递到私钥的拥有方。由此可以知道：对称密钥加密普通信息，非对称密钥加密对称密钥。

　　在Integrity中，使用非对称密钥的私钥加密摘要，得到的东西是一个广为人知的东西—Digital Signature(数字签名). 而使用对称密钥加密摘要得到的是HMAC(Hash message authentication codes)。他们在保证消息完整性的同时，都具有身份鉴别的功能，不过前者还有一个功能—抗否认性。值得注意的是在Confidentiality中，使用非对称密钥方法是用公钥加密，私钥解密，而在Integrity中使用非对称密钥的方法恰恰相反。

　　在当前的安全策略上很多时候会使用到SSL和VPN，他们的好处和缺点网上都有评论，但作为和传输层无关的安全策略，WS-Security规范无疑是最具广泛的应用。IBM，BEA,Microsoft共同制定了WS-Security规范，解决了安全的三个基本问题：机密性、完整性、身份鉴别，在Web Services使用SOAP（XML 格式）作为消息封装协议的背景下，标准化组织分别制定了XML Encryption、XML Digital Signature、与SAML(XML格式的Security Token)三套规范，WS-Security则是规定了如何将以上规范组合起来以满足Web Services安全需求的一套规范。

　　XML Signature规范是将数字签名和XML组合而成的产物，不要以为XML Signature仅仅是将数字签名技术应用于XML文件。